对网络工程师Jose Arellano来说,“工作中的最大挑战”在于如何伊利诺伊州西极光129校区的12700名学生、1900名员工以及10000多台联网设备的网络安全。这支仅仅有两名成员的安全团队一直致力于尽可能帮助教师及学生安全且高效地运营网络。Arellano表示,“我们以前总是将注意力集中在网络内部。”

2017年秋季,一次DDoS攻击使该地区的网络瘫痪超过六周,惨痛的教训让他们意识到问题所在。现在,他们被迫将注意力从攻击预防转向威胁检测与响应。他称,“这绝对是一项艰巨到令人难以置信的工作。”

Arellano的挫败感在越来越多安全专业人士那里引发共鸣。研究机构CyberEdge Group的一项研究显示,2015年到2016年期间,全球安全从业者面临的最大挑战正是“压倒性的网络威胁环境”。

最近发布的一项新报告则带来更令人绝望的结论。据威胁情报企业Risk Based Security公司的报告,仅在2017年前三个月即出现4837项安全漏洞,很明显新增漏洞数量正“保持着持续且稳定的增长速度”——这一数字较2016年第一季度增长了29.2%。

WannaCry勒索软件攻击的出现标志着目前恶意软件、勒索软件、网络钓鱼活动以及恶意攻击者正在全球范围内肆虐——而且其在攻击大多数目标时并未抱有明确目的。这意味着众多组织机构——无论其规模大小,每天都会从监控系统当中收到数以万计的安全警报。研究企业Ovum公司宣称,约有37%的银行每天收到超过20万项安全警报,其背后皆有可能隐藏着真实存在的攻击活动。

攻击的强势冲击将进一步增加安全团队的痛点。各类组织机构不仅需要筛选数据并优先处理成千上万条警报,同时亦必须采取措施,以解决本就匮乏的网络专业人力资源无力以手动方式调查安全事件的难题。《牛津经济》进行的一项调查显示,81%的受访者担心其检测出的安全漏洞得不到合理解决。Cybersecurity Ventures公司发布的一份最新报告更是明确提到,预计到2021年全球网络安全职位空缺将高达350万个,这一数字远高于去年的100万个。

Forrester Research公司安全与风险专家兼高级分析师Joseph Blankenship解释称,目前虽已经出现一系列新型自动化事件检测与响应技术方案,但相当一部分企业仍然对安全自动化抱有抵触情绪。他表示,“过去,自动化曾经给我们带来过问题。其会阻断合法流量并导致服务中断。造化操作确实问题多多,特别是考虑到其天然存在的监管与验证缺失特性。”

如今,新的态势可能会带来一点乐观因素。Blankenship表示,“直到最近,我们终于开放了API,这意味着我们不仅能从简单的日志信息中提取出数据,还能够借此组织自动化操作。各平台之间将能够借此实现更多共享,另外归功于API对数据自由交换的促进作用,我们得以创建出自动化层与编排层。”

ESG公司首席分析师兼该公司网络安全服务创始人Jon Oltsik表示,编排与自动化正成为重要的潜在解决方案,“大家必须首先进行试水。另外,它解决不了我们的所有问题,而且有时候甚至要求我们调整原有业务流程。”

时至今日,各类组织机构皆面对着大量可供选择的造化事件响应解决方案,而这些方案当然不可能百试百灵。

下面是三家企业如何利用自动化工具,解决网络安全挑战与制定应对策略方面的经验及心得。

安全数据泛滥如何管理?

托管服务供应商CareWorks公司通过全美88个办事处与全球6个海外分支机构收集安全数据,由此获得的信息量实在过于庞大。该公司CIO兼CTO Bart Murphy解释称,“尽管我们在IT人员配备方面比较充足,但仍然难以应对如此可观的数据总量。因此,我们必须考虑少花钱多办事这一现实需求。”

Murphy开始寻求从安全漏洞扫描工具、安全分析软件以及终端解决方案中收集全部数据,而后尽可能尝试实现某些过程的自动化。

CareWorks公司已经开始利用ServiceNow的平台即服务产品实现企业IT运营自动化。因此,该公司于2017年3月开始采用ServiceNow的SecOps模块。在使用初期,该公司就陆续将赛门铁克、Nessus、LogRythm以及Tanium等工具同自动化工作流程进行对接。Murphy指出,“我们最终将充分利用编排机制实现威胁响应的自动化主动处理,并发回执行报告。”

如今,该SecOps模块已经能够追踪与潜在或真实安全事件相关的所有活动,而无需对各类日志进行手动提取。当然,现在要计算这种方式所节约下来的时间与人力成本还为时过早。目前,Murphy的目标是“确保我们立足当前所掌握的事实尽可能进行保护与预防”,但真正建立起安全自动化信心仍需要一定时间。

他解释称,“随着时间推移,还需要引入一定程度的验证机制才能真正适应这种自动化处理方式。我并不会建立不切实际的期望,例如在未来6到12个月之内需要实现怎样的自动化水平。我宁愿仅建立10个真正成熟且经过完善测试的自动化流程,也不希望匆忙上马100个尚不可靠的流程。我要确保团队真正了解这一目标,而非为了自动化而自动化。”

安全响应如何化繁为简?  

在网络安全方面,Finning International公司CISO Suzie Smibert高度重视简化方向。作为总部位于温哥华的全球最大Caterpillar产品与支持服务商的全球企业架构主管,Smibert表示在网络响应技术方面,“目前的厂商数量实在太多。”

Finning公司每天都会收到数以万计的安全警报,这些警报来自其覆盖全球三大业务区域以及13000多名员工的服务器与网络体系,其中每位员工都拥有多台联网设备。Smibert解释称,“添加更多安全工具并不会提升安全性水平,反而可能使情况变得更糟。这是因为那些包含上百种不同安全功能的复杂环境可能只会带来虚假的安全感。”更重要的是,“如果在网络环境中部署有10台仅可实现同一功能的设备,那么除了培训成本与日常开支增加到十倍之外,其不会带来任何成效提升。”

Smibert仅选择了少数几款多功能安全工具用,以检测并响应攻击活动——其中一套将网络、云与端点安全相结合的平台,能够以自动化方式预防攻击,另外还包括一款云交付终端保护解决方案以及一套分析驱动型SEIM。(为了避免竞争厂商的骚扰,她拒绝透露这些产品的具体名称。)

她的团队目前已能每天解析数千项警报,从而保证仅调查那些有必要调查的警报——具体数量为每天20到40条。Smibert指出,她非常有幸拥有充足的熟练安全专业人员,能完成这些手工操作任务,因此她暂时并不急于进一步推动编排与自动化。

她强调称,“我现在还不太放心用用自动化方案处理业务关键系统的功能或安全数据。”特别是遗留应用。“不过这不意味着不会发生。一部分系统在设计时并未考虑到自动化机制。因此,如果因匆忙引入自动化手段而产生误报甚至是负面连锁反应,问题要比真正的小型安全事件还要严重得多。”

两位安全人员怎么用起来像200人?    

在网络安全人员或者预算层面,义务教育阶段的学校往往无法与私营企业相提并论。西极光129校区(West Aurora School District 129)就希望利用事件响应软件以弥补其中的差距。

在此校区当中,拥有两名成员的IT团队需要为18所学校管理基础设施。在2016年8月的新学期当中,该校区内的无线网络曾发生崩溃,且没人——甚至包括当地互联网服务供应商——能够顺利完成问题溯源。Arellano回忆称,“我们使用的是思科的产品,但缺少大量需要通过固件更新(通过思科Smartnet服务)才能获得的功能,因此我们的网络可视化极低。”

互联网服务供应商提到,该校区很可能已经成为大规模网络攻击的目标。“这确实让我们忧心不已”,而且问题一直持续了六周,直到Arellano安装了事件响应软件、流量分析与数据取证工具后才真正找到导致中断的根本原因。

利用Plixer的网络流量分析系统Scrutinizer,Arellano立即看到大量DDoS警报。通过捕捉到的数据包,他注意到其中不少DNS响应来自美国消费品安全委员会(简称CPSC)。他回忆称:“我们正是借此确定了具体攻击类型。DNS反射攻击使得黑客能够冒用学校地址并从CPSC处请求查询大量记录。下一步要做的当然是阻止这种行为。

Arellano得以利用当前可见的时间戳与IP地址缩小事件范围,同时仅提取与此次事件相关的数据。他在一所学校二楼的网络教室中进行调试,“这时我注意到一位学生删除了旧有记录。在拿到该学生的ID后,我们挖出了一些记录,发现他曾经使用某个Web版网站,每月付费10美元即可轻松发动攻击。在此之后,我们又陆续阻止了两起类似的攻击事件。”

技术总监Don Ringelestein表示,“二十一世纪的火警已有新的表现形式,这就是DDoS攻击。我们曾是被动应对,现在我们变得更为主动。”利用事件响应工具,“我发现了众多问题根源,并能够在其造成破坏之前加以阻止”。

自动化需外部协助

众多受到网络安全威胁侵扰的企业也开始积极寻求服务供应商的帮助,旨在借此实现自动化与编排功能。Gartner公司预测,到2020年将有15%的大中型企业采用托管检测与响应等服务,而这一比例在2016年还仅为不足1%。

IDC公司安全战略副总裁Pete Lindstrom指出,“我坚决支持引入服务供应商,因为对于大多数企业来说,其都缺乏应对这类每年只出现一到两次的偶然事件的经验。只有通过服务供应商,我们才能了解风险的真实性质。Trustwave、FireEye以及其他二十多家供应商都通过实际行动证明了我的论断。”

安全自动化的正确姿势

Oltsik建议,安全领导者应停止盲目购买与自动事件响应流程相关的工具,而首先需要解决自己的运营难题。“与团队成员交谈,弄清楚企业中的最大痛点在哪里。为什么解决问题需要两个小时的周期?人员协作的难点究竟是什么,我们又为何无法获取必要的调查或取证数据?只有确定了这些问题的答案,我们才能找到最合适的编排与自动化工具引入起点。这些工作不应以强制方式进行。大家必须让企业员工参与其中,并确保每个人都朝着共同的方向努力。”

Oltsik同时补充称,当准备好部署自动化方案时,应从最唾手可得的目标着手。“如果威胁情报显示某个特定IP地址或网络域名存在恶意行为,并给出80%的确信度指标,那么我们就不再需要委派专人进行二次调查。”

接下来的工作是引入编排机制并投入时间。Oltsik表示,假设大家已经拥有一套安全流程,或者已经投入了时间处理流程当中的所有任务,那么应该已经很清楚该如何运用技术以“更好地做出反应。”总之,这类积累工作往往需要一定时间。

同样重要的是,对于任何新型自动化或者编排流程的引入,提供余裕的审查周期也非常必要。“你认为不必要的结果当中包含哪些重要内容?下一次如何做得更好?整个流程是否完全遵循预期,或者应该添加或去掉某些额外步骤?”

Smibert认为,事件响应自动化方案的广泛采用过程将遵循云计算的普及之路。“五到十年之前,每人都对云计算抱有担忧情绪,但业界已经证明只要拥有正确的云计算技术战略及全面的实施方法,这种新技术将带来奇迹。在我看来,同样的情况也将在安全自动化领域重演。一旦得到业内人士的广泛认同,且早期成功采用者具备一定规模,那么人们的接纳程度将有所提升,接下来更多创新成果也将陆续涌现。到那个时候,也许我们将看到流行程度不亚于当下云计算的安全自动化新局面。”

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。